Pular para o conteúdo

Pegasus invade iPhone de membro da comissão PEGA e expõe falha na União Europeia

Mulher preocupada olhando para smartphone em sala de escritório com bandeiras da União Europeia ao fundo.

Um integrante da comissão encarregada de investigar os abusos do software espião Pegasus teve o próprio iPhone esvaziado por dentro - um episódio tão irónico quanto alarmante, no coração da União Europeia (UE).

A revelação veio dos especialistas em cibersegurança do Citizen Lab, da Universidade de Toronto, num caso particularmente constrangedor para Bruxelas. Stelios Kouloglou, jornalista grego e ex-eurodeputado, teve o seu iPhone pessoal comprometido em várias ocasiões.

A ironia é completa: ele foi atacado enquanto participava ativamente da comissão PEGA, um órgão do Parlamento Europeu criado especificamente para apurar os desvios ligados a softwares espiões na Europa. É a primeira vez que um membro dessa comissão oficial é publicamente identificado como vítima.

Como o “zero-click” no iOS abriu caminho para o Pegasus

Para aceder aos dados do eurodeputado, os atacantes recorreram a uma técnica especialmente eficaz: uma falha “zero-click” escondida no iOS. Diferentemente dos golpes mais comuns, a vítima não precisou clicar em link suspeito algum nem instalar qualquer ficheiro.

Segundo o Citizen Lab, o malware explorou uma vulnerabilidade relacionada ao sistema de casa conectada do iPhone para entrar de forma silenciosa. Depois de instalado, o programa conseguiu sifonar todo o conteúdo do aparelho sem que o proprietário percebesse.

Um timing impossível de ignorar

A ferramenta usada nesta intrusão foi o próprio Pegasus, o software espião mais temido do mercado. Desenvolvido pela empresa israelense NSO Group, o produto é vendido, em tese, a agências governamentais para o combate ao terrorismo e ao crime organizado.

Na prática, porém, o Pegasus está no centro de um escândalo global há anos. Investigações sucessivas demonstraram que diferentes governos o utilizam para vigiar alvos muito menos legítimos - como opositores políticos, ativistas de direitos humanos e jornalistas. A própria Grécia foi abalada pelo seu escândalo nacional de espionagem, apelidado de “Watergate grego”.

Datas dos ataques e a comissão PEGA

No caso de Kouloglou, o calendário das invasões dificilmente parece coincidência. O Citizen Lab concluiu que o primeiro ataque aconteceu em outubro de 2022, durante um período de audiências tensas, quando a comissão PEGA redigia o seu primeiro relatório de investigação sobre vigilância na Europa.

Depois disso, mais dois ataques ocorreram em março de 2023, exatamente quando o eurodeputado viajava entre Atenas e Bruxelas para finalizar o relatório. Alguém, ao que tudo indica, queria conhecer os mínimos detalhes e segredos do trabalho da instância.

Inércia política

A revolta de Stelios Kouloglou é compreensivelmente enorme. O ex-eurodeputado manifestou indignação não só pelo roubo de dados profissionais, mas também pela exposição de fotos e recordações extremamente íntimas. Determinado a levar o caso adiante, ele declarou que pretende processar a NSO Group. A eurodeputada belga Saskia Bricmont denuncia “um ataque direto ao Estado de direito”.

O episódio também expõe uma preocupante paralisia política. Embora a comissão PEGA tenha apresentado conclusões e recomendado medidas rigorosas, a UE não adotou nenhuma ação concreta. Para John Scott-Railton, pesquisador sénior do Citizen Lab, trata-se de uma situação “embaraçosa” para a Europa.

Enquanto isso, os Estados Unidos já avançaram ao colocar a NSO Group numa lista negra. Sem leis firmes e sem um laboratório comum de defesa tecnológica, as instituições europeias continuam hoje particularmente expostas a armas digitais.

Comentários

Ainda não há comentários. Seja o primeiro!

Deixar um comentário